Тип работы:
 Предмет:
 Язык работы:


Криминалистический анализ системных файлов современных операционных систем семейства Windows

Работа №71237

Тип работы

Дипломные работы, ВКР

Предмет

программирование

Объем работы32
Год сдачи2016
Стоимость4750 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
45
Не подходит работа?

Узнай цену на написание


Введение
1. Постановка задачи 6
2. Обзор теневой копии 7
2.1. Хронология 7
2.2. Общие сведения 8
2.3. Существующие решения 10
3. Разбор и анализ формата теневой копии 13
3.1. Хранение данных 13
3.2. Структура формата 14
3.2.1. Местоположение 14
3.2.2. Внутреннее устройство 16
3.2.3. Извлекаемая информация 20
4. Разработка компонента поддержки и
анализа теневой копии 21
5. Обзор тост уведомления 24
6. Разбор и анализ тост уведомления 25
6.1. Хранение данных 25
6.2. Структура 25
6.2.1. Местоположение 25
6.2.2. Внутреннее устройство 25
6.2.3. Извлекаемая информация 26
7. Разработка компонента поддержки и
анализа тост уведомления 28
Заключение 29
Список литературы

В современном мире с целью полного и всестороннего расследования обстоятельств совершенных преступлений и противоправных деяний зачастую прибегают к помощи компьютерного криминалистического анализа [2].
Электронные вычислительные машины (ЭВМ): компьютеры, ноутбуки, смартфоны и т.д., – а также устройства хранения информации:
жесткие диски, флеш накопители и т.д., – имеющиеся у подозреваемого,
в соответствии с судебным постановлением подвергаются различным
видам исследований [18] в том числе, с помощью специализированных
инструментов для проведения компьютерной экспертизы.
Объектами компьютерной экспертизы является совокупность хранимых на устройстве файлов, которые могут содержать интересующие
данные (артефакты), и могут быть предъявлены в суде [7].
Содержащаяся в объектах исследования информация может подтвердить или опровергнуть причастность подозреваемого к совершенному деянию, а также выявить наличие у злоумышленника предметов,
являющихся уликами преступления.
Файлы, представляющие непосредственный интерес для компьютерной экспертизы, можно разделить на две категории: файлы операционной системы и приложений. Во время работы операционной системы
файлы первой категории постоянно модифицируются, так как в системе происходят некоторые действия, влияющие на данные файлы. К
действиям, приводящим к модификации, относятся такие, как удаление
или изменения файлов, установка сторонних программных продуктов,
подключение или отключение внешних ЭВМ и т.д..
Одним из системных файлов является появившийся в последних
версиях операционных систем Windows уведомление Toast Notification,
также называемое тост уведомление (Тост). Тост представляет из себя оповещение, уведомление или событие, которое произошло в определенный момент времени с приложением или сервисом, к примеру,
уведомление о получении новых сообщений в социальных сетях или в
4почтовых сервисах. Данные уведомления отображаются в системной
области, называемой Центр Уведомлений (Action Center) [22].
В расследуемых делах, когда часть данных была удалена подозреваемым, специалист в области компьютерной экспертизы может применить различные способы восстановления утерянной информации. В тех
ситуациях, когда восстановление информации не принесло желаемого
результата или когда интересующие данные были перезаписаны, эксперт проводит поиск резервных копий данных или предыдущих версий
утерянной информации, чтобы проанализировать их взамен отсутствующих или перезаписанных данных.
Одной из технологий резервного копирования, встроенной в современные операционные системы семейства Windows, является технология Microsoft Volume Shadow Copy Service [16], основанная на формате
логического раздела Volume Shadow Copy, также называемой теневой
копией (ТК). Теневая копия представляет из себя копию логического
раздела на определенный момент времени в прошлом. Теневые копии
могут быть полными, дифференциальными или инкрементальными [21]
копиями логического раздела. Теневые копии также могут быть копиями любого логического раздела вне зависимости от файловой системы,
установленной на данном разделе.

Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
КУРСОВЫЕ СТАТЬИ ВКР

В рамках данной работы были получены следующие результаты:
• Исследована структура формата теневой копии
– Определены местоположение и внутренние элементы
– Установлена новая информация, пригодная для извлечения,
и, как следствие, выявлены различные состояния теневых копий
– Выделена криминалистически значимая извлекаемая информация
• Исследована структура тост уведомления
– Определены местоположение и внутренние элементы
– Выделена криминалистически значимая извлекаемая информация
• Разработаны компоненты анализа тост уведомления и формата
теневой копии, которые были интегрированы в продукт цифровой
криминалистики
Дальнейшие пути развития:
• Восстановление содержимого логического раздела на момент создания теневой копии в тех случаях, когда дескриптор метаинформации и дескриптор измененных блоков данных находятся на
разных логических разделах
• Реализовать восстановление не всего содержимого логического раздела на момент создания теневой копии, а лишь тех файлов и
директорий, что подверглись изменениями.


[1] Belkasoft. Belkasoft Evidence Center.— 2015.— URL: https:// belkasoft.com/ec (online; accessed: 29.10.2015).
[2] Computer forensics education / A. Yasinsac, R.F. Erbacher, D.G. Marks et al.— Piscataway, NJ, USA : IEEE Educational Activities Department, 2003. — July.— Vol. 1.— P. 15-23.— URL: dx.doi.org/10.1109/MSECP.2003.1219052 (online; accessed: 29.01.2016).
[3] Dokan. Dokan.— 2015.— URL: https://github.com/dokan-dev/ dokany (online; accessed: 29.12.2015).
[4] Eilam Eldad. Reversing: secrets of reverse engineering. — John Wiley & Sons, 2005. - P. 595. - ISBN: 0-7645-7481-7.
[5] Forensic Explorer. Forensic Explorer.— 2016.— URL: http://www. forensicexplorer.com/ (online; accessed: 10.01.2016).
[6] Forensics Wiki. Mounting Disk Images // Wikipedia, the free encyclopedia.— 2011.— URL: http://www.forensicswiki.org/ wiki/Mounting_Disk_Images (online; accessed: 16.01.2016).
[7] Forensics Wiki. Computer forensics // Wikipedia, the free encyclopedia. -- 2013. -- URL: http://forensicswiki.org/wiki/ Computer_forensics (online; accessed: 27.10.2015).
[8] Guidance Software. EnCase Forensic. -- 2016. -- URL: https: //www.guidancesoftware.com/encase-forensic?cmpid=nav_r (online; accessed: 06.02.2016).
[9] Libyal. Libvshadow.— 2015.— URL: https://github.com/libyal/ libvshadow (online; accessed: 12.11.2015).
[10] Magnet Forensics Inc. Internet Evidence Finder. -- 2015. -- URL: https://www.magnetforensics.com/ (online; accessed: 26.12.2015).
[11] Metz Joachim. Analysis the Windows NT VSS format.— 2013.—
URL: https://390edf27cd124f5c044caae3c61c3ef563054824.
googledrive.com/host/0B3fBvzttpiiSZDZXRFVMdnZCeHc/Volume% 20Shadow%20Snapshot%20%28VSS%29%20format.pdf (online;
accessed: 08.10.2015).
[12] Microsoft. Adaptive and interactive toast notifications for Windows 10 // Microsoft Developer, the official blog. — 2016.— URL: https: //blogs.msdn.microsoft.com/tiles_and_toasts/2015/07/02/ adaptive-and-interactive-toast-notifications-for-windows-10/ (online; accessed: 04.03.2016).
[13] Microsoft. Services // Windows Dev Center.— 2016.— URL: https://msdn.microsoft.com/en-us/library/ms685141.aspx (online; accessed: 20.01.2016).
[14] Microsoft. Toast // Windows Dev Center.— 2016.— URL:
https://msdn.microsoft.com/en-us/library/windows/apps/ br230846.aspx (online; accessed: 04.03.2016).
[15] Microsoft. Volume Shadow Copy Service. — 2016. — URL:
https://msdn.microsoft.com/ru-ru/library/windows/desktop/ bb968832(v=vs.85).aspx (online; accessed: 11.01.2016).
[16] Russinovich Mark E., Solomon David A. Microsoft Windows Internals, Fourth Edition: Microsoft Windows Server(TM) 2003, Windows XP, and Windows 2000 (Pro-Developer). — Redmond, WA, USA : Microsoft Press, 2004. — P. 706-711. — ISBN: 0735619174. — URL: http://dl. acm.org/citation.cfm?id=1096142.
[17] Russon Richard, Fledel Yuval. NTFS documentation. — 2004. — URL: http://dubeyko.com/development/FileSystems/NTFS/ntfsdoc. pdf (online; accessed: 09.10.2015).

[18] SP 800-86. Guide to Integrating Forensic Techniques into Incident Response / Karen Kent, Suzanne Chevalier, Timothy Grance,
[19] Sanderson Forensics. Reconnoitre.— 2016.— URL: http:
//sandersonforensics.com/forum/content.php?168-Reconnoitre (online; accessed: 15.02.2016).
[20] Vandeven Sally, Filkins Barbara. Forensic Images: For Your Viewing Pleasure. — SANS Institute InfoSec Reading Room, 2014.— 38 p.— URL: https://www.sans.org/reading-room/whitepapers/ forensics/forensic-images-viewing-pleasure-35447.
[21] Wikipedia. Backup // Wikipedia, the free encyclopedia.— 2015.— URL: https://en.wikipedia.org/wiki/Backup (online; accessed: 13.11.2015).
[22] Wikipedia. Action Center // Wikipedia, the free encyclopedia. — 2016.— URL: https://en.wikipedia.org/wiki/Action_Center (online; accessed: 02.03.2016).
[23] Wikipedia. Globally unique identifier // Wikipedia, the free encyclopedia.— 2016.— URL: https://en.wikipedia.org/wiki/ Globally_unique_identifier (online; accessed: 08.02.2016).
[24] X-Ways. X-Ways Forensics.— 2016.— URL: http://www.x-ways. net/forensics/index-m.html (online; accessed: 13.01.2016).

Работу высылаем на протяжении 30 минут после оплаты.



Подобные работы


©2025 Cервис помощи студентам в выполнении работ
.